Si vous faites partie des 143 millions de personnes qui ont été touchées par la faille de sécurité géante chez Equifax (ou si vous faites partie de ceux qui n’ont pas encore vérifié s’ils l’étaient), vous savez déjà que ce fournisseur de données géant a mis en place un site web spécial : www.equifaxsecurity2017.com, pour que les gens aient accès à des informations concernant cette fuite de données, et puissent vérifier aussi si leurs données personnelles ont été compromises.
Le choix du nom de domaine pour leur site dédié est tout simplement déconcertant !
La société possède déjà un nom de domaine, equifax.com
. Elle peut ajouter autant de sous-domaines qu’elle le désire (un sous-domaine est une extension d’un domaine existant, avec des lettres, des chiffres ou des traits d’union suivis d’un point, par exemple nakedsecurity.sophos.com
est un sous-domaine de sophos.com
).
L’utilisation de sousdomaine.equifax.com
aurait été une excellente idée. Après tout, personne, et peu importe la puissance financière associée, ne pourra acheter un domaine se terminant par .equifax.com
, hormis Equifax lui-même. Il s’agit d’une propriété exclusive de l’entreprise.
C’est aussi un domaine facile à deviner si vous ne connaissez pas l’adresse exacte du site. De plus, il existe depuis longtemps, ce qui lui donne ainsi une bonne visibilité sur Google. Le moteur de recherche indexe le site web Equifax depuis des années et lui fait suffisamment confiance pour qu’il ait un traitement de faveur dans les résultats de recherche, par rapport à des nouveaux domaines.
Mais Equifax n’a pas choisi une adresse de type sousdomaine.equifax.com
pour son site dédié à la faille de sécurité. A la place, il a choisi www.equifaxsecurity2017.com
, un domaine qui contient le mot Equifax certes, mais qui ressemble à un site d’hameçonnage, vis-à-vis duquel il a dû mettre ses clients et ses employés en garde, et ce à de nombreuses reprises !
Le nom ressemble à des milliers de domaines similaires que n’importe qui peut acheter, et en agissant ainsi, Equifax a renoncé à son formidable avantage avec Google, et a préparé le terrain pour quiconque voudrait créer un site de phishing.
Mark Stockley, de Naked Security, en sait quelque chose car il en a acheté deux.
Au cours de l’enquête sur cette faille de sécurité le lendemain matin après sa divulgation, il a acheté deux domaines qui sont exactement les mêmes que www.equifaxsecurity2017.com
, au tiret près. Il possède, et contrôle, ces domaines identiques, le tout pour la modique somme de £ 30 (34€) !
Heureusement que Mark n’est ni mal intentionné, ni un cybercriminel ! Heureusement, c’est aussi le cas de cette personne qui a mis en place un site de phishing mal orthographié, afin de montrer les vulnérabilités évidentes, au niveau de la page d’Equifax mise à disposition en réponse à cette faille de sécurité. Nick Sweeting, développeur Full Stack, a déclaré à The Verge qu’il avait configuré le site securityequifax2017.com
pour souligner l’énorme erreur commise par Equifax en utilisant un domaine qui n’a aucune autorité, au lieu d’utiliser equifax.com.
Vous ne voyez pas le problème avec securityequifax2017.com
? C’est normal, il s’agit tout simplement d’une permutation des mots “security” et “equifax”.
Compréhensible, mais plutôt malheureux au final, car Equifax lui-même a fini par s’y perdre, et a effectivement tweeté la mauvaise URL, ce qui est vraiment un scénario de rêve pour un typosquatter !
Les tweets ont depuis été supprimés, mais voici le Tweet de réponse de Dave Rand (@LorettoDave), qui a repéré l’erreur d’Equifax Mardi :
You have tweeted the wrong URL (securityequifax2017 instead of equifaxsecurity2017). You should delete this tweet and correct your mistake.
— Dave Rand (@LorettoDave) 20 septembre 2017
//platform.twitter.com/widgets.js
The Verge possède une capture d’écran de l’original, le message de rêve pour un typosquatter envoyé par Equifax. Il a également fouillé et retrouvé trois autres tweets datant du 9 septembre, qui ont été supprimés depuis, et qui envoyait des victimes potentielles vers cette même fausse adresse. En d’autres termes, Equifax envoyait des personnes, depuis Twitter, vers des sites de phishing potentiels, juste après la divulgation de la faille de sécurité.
Sweeting a déclaré à The Verge qu’aucune donnée ne quitterait sa page et qu’il “avait supprimé tout risque de fuite de données via des requêtes réseau, en les redirigeant vers l’ordinateur de l’utilisateur concerné”.
En réponse aux tweets, Mark Stockley a estimé que “à ce stade, il était difficile d’imaginer pire scénario de la part d’Equifax pour induire en erreur ses utilisateurs, rendre la situation encore plus confuse et faciliter la vie des cybercriminels”.
Sweeting et Stockley ont acheté quelques noms de domaine uniquement pour marquer les esprits. Rien n’empêche les cybercriminels d’acquérir des centaines voire des milliers de domaines aux allures réalistes et d’héberger toute une série de sites conçus pour délester les utilisateurs de leurs mots de passe, numéros de carte de crédit ou autres données personnelles.
On peut imaginer l’ambiance qui régnait chez Equifax, lorsque le département “communication” s’est vu assigné la pénible mission de prévenir les gens au sujet de cette faille de sécurité. Malheureusement, il est très facile de cliquer malencontreusement sur un lien, et ce même dans un contexte non stressant.
Un porte-parole d’Equifax a déclaré que tous les messages avec les liens erronés avaient été désactivés. L’entreprise s’est d’ailleurs excusée pour cette confusion.
Depuis des années, nous avons mis en garde contre les dangers du typosquatting, à savoir les domaines qui profitent des noms de sociétés mal orthographiées, et du cybersquatting, les domaines quant à eux qui empruntent des noms d’entreprises, de figures publiques ou d’autres termes profitant de l’intérêt du public pour les recherches mentionnant ces noms .
Les dangers concernent le piège du système du coût-par-clic, la diffusion de publicités pour des produits scams, et même être victime de cybercriminels qui utilisent ces domaines pour l’hameçonnage ou pour la diffusion de malwares.
Pour un aperçu rapide de notre rapport sur le typosquatting, consultez la vidéo suivante.
Billet inspiré de Equifax has been sending customers to a fake phishing site for weeks, sur Sophos nakedsecurity.